Специалисты обнаружили новый вирус-шифровальщик, который выдает себя за стандартное обновление ОС Windows. Вредоносное приложение шифрует файлы пользователя, демонстрируя в этот момент экран инсталляции обновления.
Обнаружит опасную программу исследователь AVG Якуб Крустек. Вирус, получивший обозначение Fantom, основан на распространенной платформе шифровальщиков EDA2 (открытый код). Распространяется зловред под видом критического обновления Windows.
Файл запускает приложение с именем WindowsUpdate.exe, которое демонстрирует поддельное окно обновления системы. Панель закрывает практически весь дисплей и не позволяет переключиться на другие окна. В окне даже присутствует индикатор прогресса, что добавляет «правдивости» процессу. На самом деле в этот момент происходит шифрование файлов пользователя.
Приложение генерирует случайный ключ шифрования (стандарт AES-128), шифрует его при помощи RSA и передает на сервер управления. Данный ключ используется для шифрования определенных типов файлов (с определенным расширением). Все файлы получают новое расширение «.fantom».
После завершения процесса шифрования вирус удаляет все теневые копии тома (эта технология позволяет восстанавливать поврежденные файлы), а также удаляет поддельный файл обновления ОС Windows. После этого пользователь видит предложение отправить запрос на адрес fantom12@techemail.com или fantomd12@yandex.ru для получения инструкций для покупки ключа для расшифровки.
На момент написания статьи отсутствует механизм расшифровки файлов без покупки ключа – известные алгоритмы противодействия таким шифровальщикам бесполезны, а новые пока не созданы. Хотя практика показывает, что если вирус-шифровальщик получает широкое распространение, антивирусные компании оперативно создают инструменты для устранения угрозы.